日本國交省公布「基礎建設之數位轉型政策」，期望建構更有效率、安全之社會環境

　　加拿大隱私專員辦公室（Office of the Privacy Commissioner of Canada, OPC）於2019年1月11日就其聯邦廣播通訊法（Radiocommunication Act, RA）與電信法（Telecommunications Act, TA）提出隱私權與個資保護建議。現行加拿大聯邦廣播通訊法針對個資保護並無特別立法，而其電信法第七條雖有提及要注重個資隱私，卻無實質責任規範。惟廣播與電信公司蒐集、處理及利用個資時，如何確保當事人之個資隱私受到保護，就此加拿大隱私專員辦公室提出三點修法建議。 一、電信法及廣播通訊法應包含哪些隱私安全與資訊安全之概念？ 　　基於人民將大量敏感個資委託給電信業者，以獲得互聯網、電話及電視通信便利服務。惟個人資訊不但具有龐大商業價值，對於執法機關和情報安全機構也具有相當利益。基於以下因素，加拿大隱私專員辦公室建議制定電信業者更新之安全機制與公共安全義務。 保護措施 現行法規之保護措施應該適用於現代通訊工具，所有設備儲存與傳輸之敏感性個資都應受到保護，而非僅限於被使用之個人資訊。 門檻提升 數據蒐集之法律標準需加強，提升隱私保護。 保存期限要求 除法律特別規定之保存期限外，相關通訊數據保存應於最短時間內刪除，通盤完整保留數據為不必要之風險。 強制協助命令 強制監督 關於電信商既已存在之標準，監視與保留通訊之數據，依據政府要求提供者，政府須解釋其合理性。 透明度 除加拿大電信商提供年度報告，政府單位依據合法授權來請求加拿大客戶數據之情況下，應有相關報告以示公平。 二、政府管理政策與產業治理之有效性衡平 　　鑑於資訊技術與商業模式蒐集數據為不透明，普通消費者根本無從得知個人資訊是如何被取得及利用分享，當事人較難根據資訊來識別問題，亦難區別是否當事人是否為有效性之同意，故加拿大隱私專員辦公室認為其應該有權審核或檢查電信業者使用技術範圍內之事務，以確保現實情況與隱私法規範保護一致。故應使加拿大隱私專員辦公室能與其他聯邦監管機構（Canadian Radio-television and Telecommunications Commission, CRTC加拿大廣播電視和電信委員會與加拿大競爭局）共享資訊，並授予加拿大隱私專員辦公司發布命令與實施行政罰鍰之權力，且允許其進行積極之合規性審查。 三、立法設計中應包含消費者保護、權利行使及可及性 　　加拿大人民享受數位經濟帶來之好處，同時希望個人資訊之利用為無疑慮地，人民相信政府及立法機關會做好保護措施。惟目前加拿大之隱私立法仍為相當寬鬆，近期相關數據洩漏事件亦已證實電信公司無法善盡管理負責任，透明度與問責制度皆不足，相關消費者保護與權利行使皆須更完善，並需要更多資金進行改善。 　　加拿大個人資料保護和電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）個資隱私法下，公司或組織於所提供服務相關時，可獲取、使用及共享資訊，但在提供服務之資訊外，尚有許多資訊共享於其他目的。電信公司蒐集日常生活資訊，針對敏感性個資，隱私法規範為明確的，但若個人數據非敏感性，則會帶來許多隱含空間，當事人是否為有意義之同意？加拿大隱私專員辦公室認為他們應該要有更多法律權力，透過執法確保電信數據生態系統之信任，並整合聯邦與省之法規。政府與業者創新使用數據皆能受到監管，於事件未發生時，則有前端監督其合規性，將使市場有明確性，且能向人民進一步保證其關注將獲得解決。

　　美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於今（2008）年初完成700MHz頻譜拍賣後，在8月份針對空白頻段(white space)中可用以抗干擾之技術進行測試，並於8月11日完成測試。完整的測試報告預計將在9月份公布。FCC並可望在未來幾個月內表決是否開放空白頻段。 　　所謂「空白頻段」係指無線電視數位化之後，位於各電視頻道之間未被使用之閒置頻段。Google、Motorola、Microsoft等公司近一、二年來持續遊說FCC開放空白頻段(white space)免執照使用，以促進無線寬頻服務之發展。 　　儘管數位無線電視台及Verizon等正使用該頻段之業者有干擾疑慮，然主張開放空白頻段之公司深信開放空白頻段對於新興無線寬頻服務之發展將大有助益，且透過感測技術(sensing technology)或地理定位科技(geolocation technology)，即可使得無線裝置於使用空白頻段之同時，不至於干擾數位無線電視台或其他取得執照使用該頻段之業者。 　　關於試驗結果，無線麥克風業者Shure之資深公關經理Mark Brunner 表示，感測技術幾乎完全無法準確偵測使用中之無線麥克風或電視頻道是否正播送中，自然無法避免干擾發生。支持開放空白頻段之Motorola公司則表示，儘管感測技術無法避免干擾發生，但是Motorola所使用之地理偵測科技則在測試中被證實可有效避開正在使用中之頻段，避免干擾情況發生。

G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織（Group of Seven，下稱G7）於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議（Data Protection and Privacy Authorities Roundtable，下稱圓桌會議），並發布「G7 DPAs公報：資料時代的隱私」（G7 DPAs’ Communiqué: Privacy in the age of data，下稱公報）[1]，特別聚焦於人工智慧（AI）技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關（Data Protection and Privacy Authorities, DPAs）組成本次圓桌會議，針對數位社會中資料保護與隱私相關議題進行討論，涵蓋「基於信任的資料自由流通」（Data Free Flow with Trust, DFFT）、新興技術（Emerging technologies）、跨境執法合作（Enforcement cooperation）等三大議題。 本次公報重申，在資通訊技術主導的社會發展背景下，應以高標準來審視資料隱私，從而保障個人權益。而DPAs作為AI治理領域的關鍵角色，應確保AI技術的開發和應用既有效且負責任，同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外，公報亦強調DPAs與歐盟理事會（Council of Europe, CoE）、經濟合作暨發展組織（Organisation for Economic Co-operation and Development, OECD）、亞太隱私機構（Asia Pacific Privacy Authorities, APPA）、全球隱私執行網路（Global Privacy Enforcement Network, GPEN）及全球隱私大會（Global Privacy Assembly, GPA）等國際論壇合作的重要性，並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨，本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》（Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI）[4]、《關於AI與兒童的聲明》（Statement on AI and Children）[5]、《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》（Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions）[6]，分別說明重點如下： 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》（Statement on Generative AI）[7]後，本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》，旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用，這可能引發對個人偏見及歧視、不公平等問題。此外，本聲明中還表達了擔憂對這些問題可能透過深度偽造（Deepfake）技術及假訊息擴散，進一步對社會造成更廣泛的不良影響[8]。 基於上述考量，本聲明提出以下原則，納入G7 DPAs組織管理的核心方針[9]： 1. 以人為本的方法：G7 DPAs應透過資料保護來維護個人權利與自由，並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用：G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則，並確保其適用於AI相關框架。 3. AI核心要素的監督：G7 DPAs應從專業視角出發，監督AI的開發與運作，確保其符合負責任的標準，並有效保護個人資料。 4. 問題根源的因應：G7 DPAs應在AI的開發階段（上游）和應用階段（下游）找出問題，並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗：G7 DPAs應充分利用其在資料領域的豐富經驗，謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響，G7 DPAs發布本聲明表示，由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限，DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度，並透過執法、制定適合年齡的設計實務守則，以及發佈面向兒童和青少年隱私權保護實務指南，以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述，當前及潛在侵害的風險包含[11]： 1. 基於AI的決策（AI-based decision making）：因AI運用透明度不足，可能使兒童及其照顧者無法獲得充足資訊，以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙（Manipulation and deception）：AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態，促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練（Training of AI models）：蒐集和使用兒童個人資料來訓練AI模型，包括從公開來源爬取或透過連線裝置擷取資料，可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用，有助於最大限度地減少隱私風險，本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解，針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理，總結如下： 1. 去識別化（De-identification）：加拿大擬議《消費者隱私保護法》（Consumer Privacy Protection Act, CPPA）、英國《2018年資料保護法》（Data Protection Act 2018, DPA）及美國《健康保險可攜性及責任法》（Health Insurance Portability and Accountability Act , HIPAA）均有去識別化相關規範。關於降低可識別性的程度，加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度；美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者，關於資料去識別化的定性，加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料，然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見，各國對去識別化規定仍存在顯著差異[12]。 2. 假名化（Pseudonymization）：歐盟《一般資料保護規則》（General Data Protection Regulation, GDPR）及英國《一般資料保護規則》（UK GDPR）、日本《個人資料保護法》（個人情報の保護に関する法律）均有假名化相關規範。關於降低可識別性的程度，均要求假名化資料在不使用額外資訊的情況下，須達到無法直接識別特定個人的程度，但額外資訊應與假名化資料分開存放，並採取相應技術與組織措施，以確保無法重新識別特定個人，因此假名化資料仍被視為個人資料。而關於假名化程序，日本個資法明定應刪除或替換個人資料中可識別描述或符號，歐盟及英國GDPR雖未明定具體程序，但通常被認為採用類似程序[13]。 3. 匿名化（Anonymization）：歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度，均要求匿名化資料無法直接或間接識別特定個人，惟可識別性的門檻存在些微差異，如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式；日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者，上述法規均將匿名化資料視為非屬於個人資料，但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》，彰顯G7 DPAs在推動AI治理原則方面的企圖，強調在AI技術蓬勃發展的背景下，隱私保護與兒童權益應成為優先關注的議題。與此同時，我國在2024年7月15日預告《人工智慧基本法》草案，展現對AI治理的高度重視，融合美國鼓勵創新、歐盟保障人權的思維，針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則，為國內AI產業與應用發展奠定穩固基礎。 此外，本次圓桌會議所發布《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》，揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新，這一領域的監管挑戰日益突顯，也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下，我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案，要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務，並針對高風險行業優先實施行政檢查等規定，以提升我國在數位時代的個資保護水準。 最後，本次圓桌會議尚訂定《2024/2025年行動計畫》（G7 Data Protection and Privacy Authorities’ Action Plan）[15]，圍繞DFFT、新興技術與跨境執法合作三大議題，並持續推動相關工作。然而，該行動計畫更接近於一項「基於共識的宣言」，主要呼籲各國及相關機構持續努力，而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰，並建立更順暢且可信的國際資料流通機制，將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際，我國更應持續關注國際趨勢，結合自身需求制訂相關法規以完善相關法制，並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).

因應國際法規變動趨勢的營業秘密管理建議 資訊工業策進會科技法律研究所 2024年06月24日 因應技術進步導致資訊的存取與分享更加容易，營業秘密侵權爭議也隨之增長，綜觀國際政策推動或許多跨國智財專家均逐漸重視營業秘密爭議相關議題，並論及營業秘密相關法規趨勢、訴訟經驗、建議企業可執行的營業秘密管理做法等，以下將綜整相關趨勢與專家觀點並提出我國企業建議。 壹、法規變動趨勢 從國際趨勢以觀，各國針對「競業禁止」規定，有逐漸對其嚴格審查與進行法規監管的趨勢，而這也使得透過限制性條款避免機密資訊外洩的難度提高，企業多轉而透過營業秘密管理來加強防護。 一、競業禁止 本文列舉了近期美國與英國對於競業禁止法規監管的趨勢。 （一）美國將從聯邦層級禁止「競業禁止」條款 美國聯邦貿易委員會（Federal Trade Commission，下稱FTC）於今年，2024年4月23日推出一項最終規定「Non-Compete Clause Rule[1]」，該規則將針對除了高級管理人員以外之員工，使僱主與員工之間已簽訂競業禁止協議無效，並禁止未來僱主與員工簽訂競業禁止合約。 （二）英國擬立法限制「競業禁止」之最高法定期限 英國目前的競業禁止相關限制係基於英美法，以法院的個案判決及既判例來執行。英國政府於2020年12月4日至2021年2月26日期間向公眾進行諮詢，並就諮詢意見之政府回覆於2023年發布報告[2]，英國政府在該報告中提出，就目前國際實務上競業禁止條款之執行期間除了美國部分州已直接被禁止外，多半未進行太多限制，如德國最高為24個月、義大利最長可達三至五年，而英國政府提出其擬將在議會時間允許的情況下提出立法領先引入「最多三個月[3]」之上限，對於競業禁止條款進行限制。 二、合理保密措施 承上所述，基於「競業禁止」條款的效力可能因為政策、法規變動或在不同國家的規定不同而導致已簽署之競業禁止條款失去效力、尚未簽署之契約禁止再簽署競業禁止條款或只允許在受有限制之情況下簽署等，企業透過此類限制性條款來避免機密資訊外洩的難度提高，使的企業多轉而透過其他日常營業秘密管理措施來加強防護，及證明企業有落實營業秘密的「合理保密措施」之法律要件。 以美國加州為例，該州多年前就禁止「競業禁止」約定，故當地企業早已轉往透過建置營業秘密政策和保護措施來加強防護。 貳、具體營業秘密管理措施之建議 一、合理保密措施之目的 合理保密措施除了作為補足無法使用限制性條款（競業禁止條款）之替代管制措施具有「預防營業秘密洩漏之效果」以外；更具有在營業秘密侵權發生後，訴訟上舉證之用。許多智財實務專家表示，無論是在哪一國法規的管轄下，權利人共通性的困難多在於訴訟的舉證上，因此專家建議企業應留存營業秘密管制措施之執行紀錄以作為將來涉訟時舉證之用。 二、營業秘密管理之具體作法 參照實務上專家的建議，本文彙整將實務上被推薦之具體營業秘密管理做法[4]羅列如下： （一）確立並可以識別營業秘密範圍 對於企業而言，首先應識別並記錄出營業秘密（機密）範圍，才能明確管制措施的範圍，並透過機密的標示（例如浮水印）來使員工能夠認知到接觸的資訊為公司重要的營業秘密。 （二）監控 針對下載、複印、數據傳輸行為或者其他可能包含機密資訊之公司設備等行為公司應進行監控。 （三）使用行為管制 公司應限縮傳播範圍（包含禁止員工通過電子郵件將資訊發送到個人電子郵件或將機密文件攜出公司等）；並於不使用時妥善存放保管並上鎖或設置密碼管控。 （四）人員管制 員工作為營業秘密管控機制重要的一環，專家建議應對員工進行教育訓練（告知營業秘密重要性或提供有關如何識別和保護機密資訊的培訓）；與相關人員（員工、承包商、合作單位）簽署保密契約（confidentiality agreements）明確定義機密資訊之範圍以及禁止未經授權的使用與揭露；設立離職員工管控機制（包含離職面談、保存相關設備、甚至如果員工可能進入競爭對手工作，企業可評估是否進一步請合格第三方進行鑑識或取證員工身上是否攜帶機密資訊等，以作為未來若涉訟之舉證）等。 參、評析 綜上所述，企業或許已經理解建立合理保密措施並留存作為訴訟時舉證之證據的重要性，並了解些許零散的管理做法，但可能產生管理措施如何才算是完善的疑問，為了提供企業更全面的管理建議，資策會科法所創意智財中心以其在智財領域之研究與實務經驗的積累發布「營業秘密保護管理規範」[5]（下稱管理規範）將管理措施透過十個單元建立PDCA管理循環。 經查，上述國際法規變動下實務專家討論之營業秘密管理措施均包含在管理規範內，如「（一）確立並可以識別營業秘密範圍」會對應到管理規範第4單元「營業秘密的確定」章節；「（二）監控」會對應到管理規範之第5單元「營業秘密的使用管理」及第7單元「網路與環境設備管理」；「（三）使用行為管制」會對應到管理規範之第5單元「營業秘密的使用管理」；「（四）人員管制」會對應到管理規範之第6單元「員工管理」與第8單元「外部活動管理」。 管理規範除了提供更加多元完善的管理做法（如定義出的營業秘密應進行機密分級、設定保密期限建立管理清單；除了管制流通、複製行為，後端的銷毀或使用紀錄留存、預警措施之建立也很重要；對於員工的管控不僅是離職時，更是從入職時就有風險需要管控；或者更後端的爭議處理機制、監督與改善機制之建立等）以外，更重要的是，管理規範納入了企業應考量的相關法律風險，以「（二）監控」之建議為例，管理規範第6.3.2條進一步要求應對員工進行「宣導」，告知員工「會監控其使用營業秘密行為並保存相關電磁紀錄」，此規定對於企業而言十分重要，因為若未進行告知，可能會因為侵害員工的隱私權，違反刑法妨害秘密罪以及通訊保障及監察法之違法監察通訊罪，而使雇主被判刑。 由此可知，企業在建立營業秘密合理保密措施之相關機制時，亦需要注意措施的完善與合法性，企業除了可參考管理規範系統性建立營業秘密管理機制外，亦可以此管理規範做為檢視自身管理措施符合性之依據，進而促進企業有效落實營業秘密管理。 [1]Federal Trade Commission, FTC Announces Rule Banning Noncompetes (2024), https://www.ftc.gov/news-events/news/press-releases/2024/04/ftc-announces-rule-banning-noncompetes (last visited May 15, 2024). [2]Consultation outcome Measures to reform post-termination non-compete clauses in contracts of employment, GOV.UK, https://www.gov.uk/government/consultations/measures-to-reform-post-termination-non-compete-clauses-in-contracts-of-employment#full-publication-update-history (last visited Jun. 19, 2024). [3]同前註，引述原文：「The government will introduce a statutory limit on the length of non-compete clauses of 3 months and will bring forward legislation to introduce the statutory limit when parliamentary time allows.」。 [4]Q&A: Trade secret disputes, Financier Worldwide Magazine, Financier Worldwide Magazine, https://www.financierworldwide.com/qa-trade-secret-disputes (last visited Jun. 05, 2024). [5]<營業秘密保護管理規範>，財團法人資訊工業策進會科技法律研究所網站，https://stli.iii.org.tw/publish-detail.aspx?no=72&d=7212（最後瀏覽日：2024/06/14）。